Brèches et réglementation portent les dépenses de sécurité

Près des trois quarts (73 %) des entreprises prévoient d’augmenter leurs dépenses pour sécuriser les données sensibles au cours des douze mois prochains mois – un bond de 14 points par rapport à l’an passé. C’est l’une des principales conclusions de l’édition 2017 de l’étude annuelle réalisée par 451 Research pour Thales, à partir du sondage de plus de 1100 responsables sécurité à travers le monde.

Mais les auteurs de l’étude déplorent que les dépenses prévues continuent de se concentrer sur le réseau et les terminaux : « ce qui est plus surprenant est que les dépenses prévues dans ces deux domaines affichent également la progression la plus importante d’une année sur l’autre ». Les sondés prévoient de renforcer leurs investissements dans les outils d’analyse et de corrélation, les mécanismes de chiffrement pour les données en mouvement et au repos, mais pas suffisamment donc pour éviter que l’écart ne se creuse avec les contrôles les plus traditionnels. Pourtant, la protection des terminaux arrive bonne dernière en termes d’efficacité perçue pour protéger les données sensibles.

Mais certains domaines, pourtant jeunes, ne sont pas oubliés, à commencer par celui, très actif l’an passé, des passerelles d’accès Cloud sécurisées (CASB). Près de 40 % des sondés indiquent prévoir d’en adopter une. Le chiffrement dans le Cloud est mentionné par plus de 30 % des sondés, tout juste devant les modules de sécurité matériels (HSM).

Ces investissements planifiés sont principalement portés par des impératifs réglementaires – 59 %. Mais 64 % des sondés plaçaient ces considérations en tête des motivations d’investissement l’an passé. Un recul appréhendé par les auteurs comme encourageant. La multiplication des incidents de sécurité n’y est peut-être pas étrangère. Près de 30 % des sondés indiquent avoir subi une brèche l’an passé, contre un peu plus de 20 % lors de l’édition précédente. Et ils sont aujourd’hui près de 70 % à indiquer avoir, un jour, souffert d’une brèche, contre un peu plus de 60 % il y a un an.

Certes, 64 % des sondés indiquent prévoir de chiffrer les données personnelles susceptibles d’être sujettes à réglementation. Mais encore faut-il savoir où sont ces données. 57 % des sondés assurent disposer d’une « connaissance complète » de l’endroit où résident leurs données sensibles. Mais plus de 50 % des sondés soulignent la complexité de l’exercice consistant à sécuriser les données, devant le manque de ressources humaines – moins de 40 % – ou de budget (33 %).

Le chiffrement apparaît privilégié pour sécuriser les données (72 %), devant la surveillance des activités sur les bases de données (70 %) ou la prévention des fuites de données (DLP). Le chiffrement séduit aussi pour les environnements Cloud, les objets connectés et les conteneurs. Et à juste titre : près de 60 % des sondés prévoient de stocker des données sensibles dans les applications SaaS, contre près de 50 % dans des environnements IaaS ou encore 44 % en PaaS. Et l’inquiétude principale touche là au risque de brèche de sécurité affectant le fournisseur Cloud, tout juste devant les vulnérabilités d’une infrastructure partagée ou encore le contrôle de la localisation des données.

En interne, ce sont les comptes à privilèges qui sont la principale source d’inquiétude (59 % des sondés). Mais concernant les menaces externes, les cybercriminels tiennent la première marche du podium (86 %). Ils sont suivis par les hacktivistes (67 %) et les cyberterroristes (66 %). Les états-nations n’arrivent qu’en fin de liste, à 35 % - « ce qui est curieux compte tenu des discussions continues sur les activités cyber de la Chine, de la Corée du Nord, de l’Iran et de la Russie ». A noter toutefois que le sondage a eu lieu avant que ne soient exprimées des allégations d’ingérence russe dans l’élection présidentielle américaine.