Selon Kaspersky, le budget en cybersécurité reste prioritaire vis-à-vis d’autres investissements IT. En revanche, les priorités changent.

Le budget informatique mondial moyen ne cesse de diminuer d’année en année. S’il ne s’agit que d’un léger retrait, à tout le moins dans les entreprises de taille moyenne; le recul est bien plus important pour les grandes entreprises.

Á l’inverse, la part de ce budget consacrée à la cybersécurité augmente légèrement. En Europe en 2020, elle augmente de 1 % dans les dépenses informatiques des moyennes entreprises (22 % des budgets informatiques de 2020) et de 3 % dans celles des grandes entreprises (26 % en 2020). Croissance à relativiser toutefois. En effet, si l’on s’intéresse aux valeurs absolues, on constate que les dépenses restent en fait assez stables, voire se rétractent très légèrement dans les grandes entreprises.

Une volonté d’amélioration de la protection informatique pour l’avenir

Pour 17 % des entreprises interrogées dans le monde, l’investissement annuel en cybersécurité sera à minima le même qu’en 2020. Elles sont cependant 71 % à déclarer que ces chiffres devraient encore augmenter au cours des trois prochaines années, de 11 % en moyenne dans les grandes entreprises et de 12 % dans les moyennes entreprises.

Pour 32 % des moyennes entreprises et 36 % des grandes entreprises, la nécessité d’améliorer l’expertise de leurs spécialistes internes est l’un des principaux moteurs de l’augmentation des investissements en cyber sécurité. Les défis auxquels doivent faire face les équipes de sécurité informatique cette année sont en effet très spécifiques.

La nature des menaces change

Kaspersky observe que les attaques de phishing touchent 50 % des moyennes entreprises et 49 % des plus grandes, tandis que les attaques sur les succursales concernent 40 % moyennes entreprises et 38 % des grandes entreprises.

Pour la majorité des organisations (57 %) la protection des données reste la question la plus préoccupante en matière de sécurité informatique, 32 % des entreprises ayant d’ailleurs décidé d’augmenter leur budget consacré à la cybersécurité en réponse à une violation de leurs données. Les points sensibles suivants concernent la sensibilisation du personnels et des clients finaux aux questions de cybersécurité (42 %) ainsi que le coût de la sécurisation d’environnements technologiques de plus en plus complexes (40 %).

Une entreprise européenne sur dix sacrifie sa cyber-protection

En Europe, 10 % des moyennes entreprises et 9 % des grandes entreprises vont réduire leur budget de sécurité informatique au cours des trois prochaines années. Les grandes entreprises justifient leur décision en indiquant ne voir aucune raison d’investir autant dans la sécurité (31 %) ou tout simplement pour respecter les demandes de leurs actionnaires et investisseurs (28 %). 

Pour les moyennes entreprises, cette diminution des investissements en cybersécurité fait le plus souvent suite à une réduction globale des dépenses de l’entreprise (24 %) et à une diminution de l’activité (24 %). Les petites et moyennes entreprises ont en effet été les plus touchées par la crise. Dans le monde, plus de la moitié ont signalé une baisse de leurs ventes ou ont connu des problèmes de trésorerie. Mais si cela a un impact sur la cyber protection, il est important pour les entreprises de conserver des moyens de se protéger des cyber risques.

Plus inquiétant, c’est l’absence d’incident de sécurité au cours des 12 derniers mois qui sert d’argument à plus d’un quart (26 %) des moyennes entreprises européennes ayant décidé de réduire leur budget cybersécurité. S’il est vrai que le coût des violations de données a baissé entre 2019 et 2020, Kaspersky rappelle que ne pas avoir été attaqué pendant une longue période ne signifie pas être à l’abri pour toujours et invite à faire preuve de prudence.

Les 5 préconisations de Kaspersky 

Kaspersky suggère néanmoins aux PME de suivre les conseils suivants, afin de maintenir leur protection en dépit de faibles budgets :

> Sensibiliser son personnel afin qu’il reste conscient des risques de sécurité informatique tels que le phishing, les menaces web, les logiciels bancaires malveillants et autres qui peuvent cibler les employés au quotidien. 

> Veiller à ce que tous les systèmes, logiciels et dispositifs soient mis à jour en temps utile. Cela permettra d’éviter qu’un logiciel malveillant s’infiltre dans un système d’entreprise par le biais, par exemple, d’un système d’exploitation non patché.

> Rendre obligatoire l’usage de mots de passe forts pour accéder aux services de l’entreprise et instaurer une authentification à plusieurs facteurs pour l’accès aux services à distance.

> S’assurer que tous les dispositifs de l’entreprise sont protégés par des mots de passe forts qui sont changés régulièrement.

Utiliser des services et des plateformes cloud éprouvés lors du transfert de données d’entreprise.

> Veiller à protéger tous les fichiers partagés par des mots de passe, par exemple dans Google Docs, ou les mettre à la disposition d’un cercle restreint au sein d’un groupe de travail.