Coup de frein sur les budgets cyber
S'ils ont l'oreille des directions générales et administrations, les RSSI n'en sont pas moins confrontés à l'insuffisance de leur budget et à la nécessité de prendre des mesures d'économie.
PublicitéSelon une étude de Splunk, menée auprès de 600 participants partout dans le monde (500 RSSI et 100 membres de conseil d'administration), seuls 29% des RSSI estiment disposer d'un budget suffisant pour porter leurs initiatives de cybersécurité. 64% d'entre eux craignent en conséquence de ne pas être en mesure d'atteindre le niveau de sécurité requis étant donné le contexte réglementaire et le paysage de la cybermenace.
« Quand on se présente au conseil d'administration pour expliquer que nous sommes exposés à une cybermenace potentielle, l'investissement est difficile à justifier. Je suis régulièrement confronté au même problème : il y a la certitude d'un investissement d'un côté, et de l'autre, la probabilité d'une menace qui pourrait ne pas se concrétiser », explique un membre d'un conseil d'administration d'un groupe bancaire multinational basé au Royaume-Uni, cité dans le rapport réalisé par Oxford Economics pour Splunk. 18 % des RSSI affirment ainsi s'être trouvés dans l'incapacité de soutenir une initiative métier en raison de coupes budgétaires au cours de l'année écoulée et 64 % d'entre eux affirment que ce support défaillant a abouti à une cyberattaque.
Réduction du nombre d'outils pour un DSI sur deux
Pour réaliser des économies, 52% des RSSI ont reporté des mises à jour technologiques, tandis que 50% d'entre eux ont entamé une démarche de réduction du nombre de solutions et d'outils de sécurité. Dans 4 entreprises sur 10, ce resserrement budgétaire s'est traduit par le gel des recrutements dans la cyber. Enfin, 36% des RSSI ont réduit ou supprimé les formations à la sécurité en interne.
Ces mesures d'économies sur la cybersécurité ne sont pas dues à l'incapacité des RSSI à dialoguer directement avec la direction générale ou le conseil d'administration. 82% des RSSI interrogés rendent aujourd'hui directement compte au Pdg de leur organisation, contre seulement 47% en 2023, souligne Splunk. Et une proportion similaire de responsables cyber participe assez souvent ou la plupart du temps aux réunions du conseil d'administration. Ce qui n'empêche par les différences de perception, 41% des membres de conseil d'administration seulement estimant ainsi que les budgets cyber sont suffisants, 12 points de moins que la part des RSSI ayant la même analyse.
Différence de perception
Par ailleurs, 52% des membres de conseil d'administration pensent que les RSSI passent la majeure partie de leur temps à aligner les efforts de sécurité sur les objectifs métiers, un item qui devance de 10 points le suivi réglementaire et la supervision de la conformité. Sauf que 58% des RSSI admettent que leur quotidien est d'abord centré sur les opérations techniques.
Publicité
La perception des tâches les plus importantes du RSSI par les membres de conseil d'administration restent assez éloignée de la réalité vécue par les praticiens. (Source : Splunk)
Dans l'Hexagone, d'après une étude menée par le Cesin (Club des experts de la sécurité de l'information et du numérique) et dévoilée en janvier 2024, 45% des RSSI français expliquent que leur organisation consacre 5% ou plus de leur budget IT à la cybersécurité, soit la même proportion qu'un an plus tôt.
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire