Seulement 5 % des responsables IT assurent avoir pleinement confiance en leurs fournisseurs de cybersécurité !
Plus de 5.000 responsables IT et sécurité interrogés dans 17 pays par Vanbson Bourne pour Sophos. Si nombre d’organisations dépendent de fournisseurs de sécurité pour leur protection critique, bien peu leur font confiance…
Seulement 5 %. Le constat est loin d’être anodin. Il suggère que la confiance dans le marché des fournisseurs reste faible, même parmi les professionnels qui achètent, déploient et gèrent ces outils au quotidien.
Le rapport montre également que les problèmes de confiance apparaissent bien avant la signature d’un contrat. Selon Sophos, 79 % des organisations ont indiqué qu’il était difficile d’évaluer la fiabilité des nouveaux fournisseurs ou partenaires de cybersécurité. Et 62 % ont fait le même constat concernant les fournisseurs qu’elles utilisent déjà. Autrement dit, le déficit de confiance ne se limite pas aux performances après le déploiement. Il commence dès l’évaluation.
Des preuves !
Les conclusions de Sophos mettent en lumière un second problème, plus concret : de nombreux acheteurs tentent d’évaluer les fournisseurs à partir d’informations incomplètes ou difficiles à vérifier. Près de la moitié des répondants ont déclaré que les informations fournies par les fournisseurs étaient inexactes ou insuffisamment détaillées. D’autres ont indiqué que les documents étaient difficiles à interpréter, contradictoires ou tout simplement difficiles à trouver. Ce constat est révélateur pour le marché : la confiance en matière de cybersécurité repose moins sur l’image de marque que sur les preuves.
Le rapport indique que 51 % des répondants se sentent plus anxieux quant à la possibilité que leur organisation subisse un incident de cybersécurité majeur en cas de manque de confiance. 45 % ont déclaré qu’un faible niveau de confiance les incitait davantage à changer de fournisseur, tandis que 42 % ont signalé un renforcement des exigences en matière de supervision. Ces difficultés viennent complexifier les opérations de sécurité, alors même que les équipes sont déjà surchargées de travail.
La fiabilité est difficile à évaluer
L’un des thèmes majeurs du rapport est la difficulté à mesurer la confiance en matière de cybersécurité de l’extérieur. Les acheteurs exigent des preuves, pas des affirmations. Ils veulent savoir si un fournisseur dispose de processus de sécurité éprouvés, comment il gère les vulnérabilités et s’il communique clairement en cas d’incident.
Le rapport révèle également un désaccord entre les équipes opérationnelles et la direction : 78 % des répondants indiquent que les équipes IT et la direction générale ou le conseil d’administration sont en désaccord sur la fiabilité de leurs fournisseurs de cybersécurité. Près d’un tiers d’entre eux affirment que ces désaccords sont fréquents. Ce type de divergence peut ralentir les achats, compliquer les renouvellements et créer des tensions après des incidents de sécurité.
Sophos constate que la direction générale reste fortement impliquée dans les décisions d’achat en matière de cybersécurité ; seulement 1 % des organisations déclarent que le conseil d’administration ou la direction générale n’y joue aucun rôle. Cela signifie que la confiance n’est pas seulement une question technique gérée par les équipes de sécurité. C’est aussi une question qui concerne la direction générale.
